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[57] ABSTRACT 

An identification scheme, a digital signature scheme giving 
message recovery, and a digital signature scheme with 
appendix are disclosed. In processing and transmitting 
information, a transmitting counterpart of a transmission 
message is confirmed. The unauthorized modification of the 
message is confirmed and transmitting behavior is detected, 
thereby providing the rehable information service. 
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IDENTIFICATION SCHEME, DIGITAL 
SIGNATURE SCHEME GIVING MESSAGE 
RECOVERY AND DIGITAL SIGNATURE 
SCHEME WITH APPENDIX 

BACKGROUND OF THE INVENTION 



The present invention relates to an identification scheme 
based on security according to difficulty in calculating 
discrete logarithms, and a digital signature scheme giving 
message recovery and a digital signature scheme with 
appendix for authenticating each identity processing 
information, protecting the integrity of transferred informa- 
tion and preventing fraudulent information processing 
behavior. 

A digital signature corresponding to a conventional 
manual signature is used to confirm a communicating 
counterpart, to prevent the unauthorized modification of the 
ents and to solve a dispute about com- 
a behavior. A method for generating the digital 
signature can be classifled into a digital signature scheme 
with appendix and a digital signature scheme giving mes- 
sage recovery, according to forms and functions of the 
generated digital signature. 

Assuming that p is a large prime number, q is another 
prime number for dividing p-1, g is a natural ntimber having 
a remainder 1 obtained by dividing its q"* power by p, g 
being between 1 and p, then g, q and p are system coefE- 
cicnts commonly utilized by users. If each user randomly 
selects a natural number s between 1 and q as a secret key 
and uses, as a public key, a remainder v (=g"^ mod p) 
obtained by dividing the -s''' power of g by p, public 
coefBcients used by each user are v, g, q and p. 

It is hard to find out the secret key s from these public 
coefBcients and therefore il is equivalent thai a problem of 
discrete logarithms is difficult to calculate. Numerous public 
key identification schemes and digital signature schemes are 
based on security strength from the fact that the problem of 
the discrete logarithms is diflicult to calculate. 

Schnorr published the identification scheme and the digi- 
tal signature scheme based on the security of the discrete 
logarithms in 1 989. The digital signature scheme published 
by Schnorr, which is the digital signature scheme with 
appendix, introduces a hash compression function to the 
digital signature scheme published by Elgamal in 1985, and 
simplifies the procedure for generating and verifying the 
digital signature. Moreover, the generated digital signature 

Tlie identification scheme proposed by Schnorr uses the 
same logarithm structure as the digital signature scheme, 
and authenticates one's own identity to a communicating 
counterpart. 

The identification scheme proposed by Schnorr in which 
a provcr A authenticates his identity to a verifier B will now 

be described. 

If the prover's system coefficients are g, q and p, the secret 
key is s (l<s<q), and the public key is v (=g"' mod p), the 
prover A selects a random number r between 1 and g and 
transmits a remainder x (=g'^ mod p) obtained by dividing 
the r'* power of g by p to the verifier B. If x is received from 
the prover A, the verifier B selects a random number e 
between 1 and q and transmits the number e to the prover A. 
The prover A multiphes the random number e received from 
the verifier B by the secret key s and adds the random 
number r, to yield r+se. The prover A transmits a remainder 
y (=r+se mod q) obtained by dividing r+se by q to the 



verifier B. If y is received from the prover A, the verifier B 
calculates a remainder x' (=g'' V mod p) obtained by 
dividing the product of the y"" power of g and the e"" power 
of v by p. The verifier B authenticates the validation of 
prover's identity by confirming whether x' and x are iden- 
tical to each other. 

In the digital signature scheme with appendix proposed by 
Schnorr, if a message to be signed is m, a signer A selects a 
random number r between 1 and q and calculates a remain- 
, der X (=g'" mod p) obtained by dividing the r* power of g 
by p. The message m and the calculated x are applied to the 
hash function to yield c (=h(x, m)). The signer A calculates 
a remainder y (=r+se mod q) obtained by dividing r added 
to the product of s and e by q. Then (e, y) is the digital 
. signature with appendix for the message m. The vaHdation 
of the digital signature (e, y) with appendix for the message 
m is easily verified since a singer's public key is known. 

That is, if the digital signature with appendix of the signer 
A for the message m is (e, y), the verifier B calculates a 
-i remainder x' (=g^v^ mod p) obtained by dividing the 
product of the y* power of g and the c''' power of v by p. The 
remainder x' and the message m are applied to the hash 
function to yield e' (=h(x', m). The validation of the digital 
signature (e, y) with appendix of the signer A is verified by 
. confirming whether e' and e are the same. 

Meanwhile, Nyberg and Rueppel published the digital 
signature scheme giving message recovery based on security 
of the discrete logarithms in 1993. The digital signature 
scheme giving message recovery of N-R (Nyberg-Riieppel) 
3 will now be described. 

It is assumed that the signer's system coellicicnls are g, q 
and p, the secret key is s ( l<s<q), the public key is v (^g"'' 
mod p), and the message to be signed is m, m being a natural 
number which is greater than or equal to I, and less than or 
, equal to the prime number p. The signer selects a random 
number r between 1 and q, and calculates a remainder x 
(=mg"'' mod p) obtained by dividing the product of the 
message m and the -r'* power of g by p. The singer adds r 
to the secret key s multiplied by x to yield r+sx and 
3 calculates a remainder y (=r+sx mod q) obtained by divid- 
ing r+sx by q. Then (x, y) is the digital signature giving 
message recovery for the message m. 

To verify the digital signature (x, y), the verifier calculates 
a remainder(=xg'' v^ mod p) obtained by dividing the 
;t of X and the y''' power of g and the x* power of v 
recover the message m. The verifier verifies the 
n of the digital signature (x, y) by confirming the 
Is of the recovered message m. 
However, the digital signature with appendix generates 
3 only the digital signature for the message. In the digital 
signature giving message recovery, if the message to be 
signed is larger in size than p, the message m should be 
divided into various messages smaller than p. Since the 
digital signature is generated for the divided messages, the 
5 size of the generated digital signature is increased. 

SUMMARY OF THE INVENTION 
It is therefore an object of the invention to provide an 
identification scheme for confirming a communicating coun- 
j terpart of a transmission message in processing and trans- 
mitting information. 

It is another object of the invention to provide a digital 
signature scheme giving message recovery for confirming 
the unauthorized modification of a message and detecting 
5 transmitting behavior. 

It is still another object of the invention to provide a 
digital signature scheme with appendix for confirming the 
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unauthorized modification of a message and detecting trans- 
mitting beliavior. 

In accordance witti one aspect of tiie invention, a method 
for generating a digital signature giving message recovery 
and verifying the generated digital signature when system ■ 
coefiBcients are g, q and p, comprising the steps of: 

(for a signer) selecting a first random number rl, calcu- 
lating a first remainder x (=mg"''^ mod p) obtained by 
dividing the product of a message m and the -rl'* 
power of g by p, and applying said first remainder x and ^ 
a singer's identification ID to a hash function to yield 
h(x, ID); 

(for said signer) selecting second and third random num- 
bers r2 and r3, calculating a second remainder r4 
(=rl-far2 mod q) obtained by dividing, by q, said first ^ 
random number rl added to the product of a first secret 
key a and said second random number r2, and calcu- 
lating a third remainder r5 (=ar3+b mod q) obtained 
by dividing, by q, a second secret key b added to the 
product of said first secret key a and said third random ^ 
number r3; 

calculating a fourth remainder yl (=r4-i-r5 h(x, ID) mod 
q) obtained by dividing, by q, said second remainder r4 
added to the product of said third remainder r5 and h(x, 
ID), and calculating a fifth remainder y2 (=r2-Hr3 h(x, 
ID) mod q) obtained by dividing, by q, said second 
random number r2 added to the product of said third 
random number r3 and h(x, ID), thus to generate a 
digital signature (x, yl, y2) for said message m; ^ 

(for a verifier) applying said first remainder x and said 
signer's identification ID to said hash function to yield 
h(x, ID); and 

recovering said message m contained in said first remain- 
der X by calculating a remainder (=xg'''vl''^v2''^*' , 
mod p) obtained by dividing, by p, the product of said 
first remainder x and the yl* power of g and the y2''' 
power of a first public key vl (^g"" mod p) and the 
{h(x, ID)}* power of a second public key v2 (=g"'' 
mod p), and verifying the validation of said digital ^ 
signature (x, yl, y2) by confirming the contents of the 
recovered message. 

In accordance with another aspect of the invention, a 
method for generating a digital signature with appendix and 
verifying the generated digital signature when system coef- ^ 
ficicnts are g, q and p, comprising the steps of: 

(for a signer) selecting a first random number rl, applying 
a message m and a signer's identification ID to a hash 
function to yield h(ID, m), calculating a first remainder 
X (=h(ID, m)g~'^ mod p) obtained by dividing, by p, 5 
the product of h(ID, m) and the -rl* power of g, and 
applying said first remainder x and said message m to 
said hash function to yield h(x, m); 

selecting second and third random numbers r2 and r3, 
calculating a second remainder r4 (=rl+ar2 mod q) 5 
obtained by dividing, by q, said first random niunber rl 
added to the product of a first secret key a and said 
second random number r2, and calculating a third 
remainder r5 (=ar3-i-b mod q) obtained by dividing, by 
q, a second secret key b added to the product of said 6 
first secret key a and said third random number r3; 

calculating a fourth remainder yl (=t4+t5 h(x, m) mod 
q) obtained by dividing, by q, said second remainder r4 
added to the product of said third remainder r5 and h(x, 
m), and calculating a fifth remainder y2 (^r2-Hr3 h(x, 6 
m) mod q) obtained by dividing, by q, said second 
random number r2 added to the product of said third 



random number r3 and h(x, m), thus to generate a 
digital signature (x, yl, y2) for said message m; 

(for a verifier) applying said first remainder x and said 
message m to said hash function to yield h(x, m), and 
recovering h(ID, m) by calculating a sixth remainder 
(=xg vF^2'''^'*' mod p) obtained by dividing, by p, 
the product of said first remainder x and the yl power 
of g and the y2''' power of a first public key vl 
mod p) and the {h(x, m)}'* power of a second public 
key \'2 (=g"'' mod p); and 

verifymg the validation of said digital signature (x, yl, 
y2) by confirming whether the recovered h(ID, m) is 
equal to h(x, ID) obtained by applying said signer's 
identification ID and said message m to said hash 
function. 

In accordance with still another aspect of the invention, a 
method for authenticatmg user's identity when system coef- 
ficients are g, q and p, comprising the steps of: 

(for a prover) selecting a first random number rl, making 
out authentication information I including a prover's 
identification and a current time, transmitting a first 
remainder x (=Ig"''^ mod p) obtained by dividing the 
product of said authentication information I the -rl''" 
power of g by p to a verifier, and (for said verifier) 
transmitting a second random number e to said prover; 

(for said prover) applying said first remainder x and said 
second random number e to said hash function to yield 
h(x, e), selecting second and third random numbers r2 
and r3, calculating a second remainder r4 (=rl+ar2 
mod q) obtained by dividing, by g, said first random 
number rl added to the product of a first secret key a 
and said second random number r2, and calculating a 
third remainder r5 (=ar3+b mod q) obtained by 
dividing, by q, a second secret key b added to the 
product of said first secret key a and said third random 
number r3; and 

calculating a fourth remainder yl (=r4+r5 h(x, e) mod q) 
obtained by dividing, by q, said second remainder r4 
added to the product of said third remainder r5 and h(x, 
e), and calculating a fifth remainder y2 (=r2-i-r3 h(x, e) 
mod q) obtained by dividing, by q, said second random 
number r2 added to the product of said third random 
number r3 and h(x, e), thus to generate a digital 
signafiire (x, yl, y2) for said message m; 

(for said verifier) recovering said authentication informa- 
tion I contained in said first remainder x by calculating 
a remainder (=xg''^vl'~v2''^^" mod p) obtained by 
dividing, by p, the product of said first remainder x and 
the yl* power of g and the y2* power of a first public 
key vl (=g"" mod p) and the {h(x, e)}''' power of a 
second public key v2 (=g"* mod p), and authenticating 
prover's identity by confirming the contents of the 
recovered authentication information. 

The present invention is more specifically described with 
reference to the accompanying drawings. 



FIG. 1 shows a process for a digital signature scheme 
giving message recovery according to the present invention; 

FIG. 2 shows a process for a digital signature scheme with 
appendix according to the present invention; and 

FIG. 3 shows a process for an identification scheme 
according to the present invention. 



Referring to FIG. 1, each user has two secret keys and two 
public keys corresponding thereto, and can generate a digital 
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signature for a message to be signed. If tlie message to be 
signed is m, tlie signer's secret keys are a and b, and the 
public Iceys are vl (^g"" mod p) and v2 (^g"*" mod p), each 
user commonly uses a hash function h and system coefS- 
cients g, q and p. When using a digital signature scheme, a 
unique identification (ID) is assigned to each user from a key 
authentication center. 

A signer A selects a random number rl between 1 and q 
and calculates a remainder x (=mg~'"^ mod p) obtained by 
dividing the product of the message m and the -r^* power 
of g by p. The signers A applies the remainder x and his 
identification ID^ to the hash function to yield h(x, ID^). The 
signer A selects random numbers r2 and r3 between 1 and q, 
and calculates r4 (=rl+ar2 mod q), r5 (=ar3+b mod q), yl 
(=r4+h(x, ID^)r5 mod q), and y2 (=r2+h(x, ID^)r3 mod q). 

Instead of calculating yl and y2 using h(x, ID^) after the 
random numbers r2 and r3 are selected, and r4 and r5 are 
calculated using the secret keys a and b, one random number 
r2 may be selected as y2, and yl may be calculated using the 
secret keys a and b and the calculated h(x, ID^). That is, the 
signer A selects the random number r2 between 1 and q as 
y2. Then yl is calculated by the following expression 
yl=rl+h(x, ID^)b+ay2 mod q. Thus, the obtained value (x, 
yl, y2) is the digital signature giving message recovery for 
the message m. 

To verify the digital signature (x, yl, y2), a verifier R 
applies X and the signer's identification ID., to the hash 
function to yield h(x, ID^). The message m is recovered by 
calculating a remainder (=xg''Vr-v2"" mod p) 
obtained by dividing, by p, the product of x and the yl''' 
power of g and the y2"' power of the public key vl and the 
{h(x, ID^)}''' power of the public key v2. The verifier B 
verifies the validation of the signature for the message m by 
confirming the contents of the recovered message m. 

FIG. 2 shows a process for a digital signature scheme with 
appendix according to the present invention. The generated 
digital signature is added to the end of a signed message and 
is processed in pairs logelher with the signed message. 

The signer A applies his identification ID^ and the mes- 
sage m to the hash function to yield I (=h(ID^, m)). The 
signer also makes out I by appending the security related 
data, e.g. the description for the corresponding message and 
the time when the digital signature is generated through a 
computer terminal. The signer A selects a random number rl 
between 1 and q, and calculates a remainder x (=Ig"''^ mod 
p) obtained by dividing the product of I and the -rl''' power 
of g by p. The signer A applies x and the message m to the 
hash function to yield h(x, m). The signer A selects random 
numbers r2 and r3 between 1 and q and calculates r4 
(=rl +ar2 mod q), r.5 (=ar3+b mod q), yl (=r4+h(x, m)r5 
mod q) and y2 (=r2+h(x, m)r3 mod q). 

Instead of calculating yl and y2 using h(x, m) after the 
random numbers r2 and r3 are selected, and r4 and r5 are 
calculated using the secret keys a and b, one random niunber 
r2 may be selected as y2, and yl may be calculated using the 
secret keys a and b, and h(x, m). In more detail, the signer 
A selects the random number r2 between 1 and q as y2. The 
remainder yl is calculated by the following expression 
yl=rl+h(x, m)b+ay2 mod q. Thus (x, yl, y2) is the digital 
signature with appendix for the message m and is processed 
together with the message m as (m, x, yl, y2). 

To verify the digital signature (m, x, yl, y2) with 
appendix, the verifier B calculates h(x, m) by applying x and 
the message m in the digital signature (m, x, yl, y2) to the 
hash function. I is recovered by calculating a remainder 
(=xg' vl*'\2'"^*' mod p) obtained by dividing, by p, the 
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product of x and the yl''' power of g and the y2''' power of 
vl and {h(x,m)}''' power of v2. The verifier B applies the 
signer's identification ID^ and the message m to the hash 
function to obtain h(ID^, m). The validation of the digital 
5 signature with appendix for the message m is verified by 
confirming whether the obtained h(ID^, m) is equal to the 
recovered I. 

Therefore, the digital signature giving message recovery 
and the digital signature with appendix are appropriately 
used according to the length of binary bit sequence of the 
message to be signed. If the size of the message is small, the 
signer uses the digital signature giving message recovery. 
Since the verifier can recover the signed message from the 
result of verifying the vahdation of the digital signature, the 
amount of communication between the signer and the veri- 
ficr can be reduced. If the size of the message is large, the 
digital signature with appendix is used to generate the digital 
signature including information such as a description phrase 
of the signer, a signed time, etc. 

Thai Is, the slu,ncr applies his identification ID and the 

20 message m lo tlie hash function to obtain h(lD, m). The 
signer appends the description phrase for the message m to 
h(ID, m). fhe signer makes out I (=h(ID^, Im), a description 
phrase, a signed time) by appending the description for the 
corresponding message and the time when the digital sig- 

25 nature is generated through a computer terminal, and gen- 
erates the digital signature with appendix. 

FIG. 3 shows a process for an identification scheme 
according to the present invention. To enhance security, each 
user may use 2 secret keys, and 2 public keys corresponding 

30 thereto. Random numbers a and b between 1 and q are 
selected as the secret keys. The public keys are vl (=g~" 
mod p) and v2 (^g"* mod p). To prove one's own identity 
to a verifier B, a prover A selects a random number rl 
between 1 and q and calculates the -rl ''' power of g. The 
prover A makes out information I (=©4, signed date and 
time, address of used terminal, etc.) including his identifi- 
cation ID^, the signed date and time, a host computer 
address or a node address indicating a position of a used 
terminal and the like, and Iraiismils x (=Ig"" mod p) to the 

^ verifier B. Aulhenlificalion information I can be I. 

If X is received from the prover A, the verifier B selects 
a random number e between 1 and q and transmits the 
random number e to the prover A. The prover A applies e and 
X to the hash function to yield h(x, e). Numbers r2 and r3 
between 1 and q are randomly selected by the prover A, and 
r4 (=rl+ar2 mod q) and r5 (=ar3+b mod q) are calculated. 
The prover A transmits yl (=r4+h(x, e)r5 mod q) and y2 
(=r2+h(x, e)r3 mod q) to the verifier B. 

In the above description, yl and y2 are calculated using 

50 h(x, e) after selecting the random numbers r2 and r3 and 
calculating r4 and r5 using the secret keys a and b. However, 
one random number r2 may be selected as y2, and yl may 
be calculated using a and b, h(x, e). In more detail, the prover 
A selects the random number r2 between 1 and q as y2, and 

jj the remainder yl is obtained by the following expression 
yl=rl+h(x, e)b+ay2 mod q). The prover A transmits yl and 
y2 to the verifier B. 

If yl and y2 are received from the prover A, the verifier 
B recovers the authentication information I by calculating 

50 xg' vF^v2''^'' mod p. The verifier B authenticates prover's 
identity by confirming the contents of the recovered authen- 
tication information I. 

In the other hand, the random number -rl can be used 
instead of the random number rl. 

65 As described above, the reliable information service is 
possible and a communicating counterpart can be effectively 
authenticated. 
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What is claimed is: 

1. A method for generating a digital signature giving 
message recovery and verifying the generated digital signa- 
ture when system coefEcients are g, q and p, wherein p and 

q are prime numbers different from each other, g is a natural : 
number between 1 and p and a remainder obtained by 
dividing q''' power of g by p is 1, the method comprising the 
steps of: 

for a signer, selecting a first random number rl, calculat- 
ing a first remainder j^mg"''^ mod p, wherein m is a i 

message, and applying the first remainder x and a 
signer's identification ID to a hash function to generate 
h(x, ID); 

for the signer, selecting second and third random numbers 
r2 and r3, calculating a second remainder r4=rl+ar2 ^ 
mod q, wherein a is a first secret key, and calculating a 
third remainder r5=ar3+b mod q, wherein b is a 
second secret key; 

calculating a fourth remainder yl=r4+r5 h(x, ID) mod q ^ 
and calculating a fifth remainder y2=r2+r3 h(x, ID) 
mod q, thus to generate a digital signature (x, yl, y2) 
for the message m; 

for a verifier, applying the first remainder x and the 
signer's identification ID to the hash function to gen- 2 
erate h(x, ID); and 

recovering the message m contained in the first remainder 
X by calculating a remainder =xg^^vl-''^v2'"^' "^^ mod 
p, wherein yl is a first public key, vl^g"" mod p, v3 
is a second public key and v2=g"* mod p, and veri- 3 
fying the validation of Ihc digital signature (x, yl, y2) 
by confirming the contents of the recovered message. 

2. A method for generating a digital signature giving 
message recovery and verifying the generated digital signa- 
ture when system coefEcients are g, q and p, wherein p and 3 
q are prime numbers different from each other, g is a natural 
number between 1 and p and a remainder obtained by 
dividing power by g by p is 1, the method comprising the 
steps of: 

for a signer, selecting a first random number rl, calculat- 1 
ing a first remainder j^mg"''^ mod p, wherein m is a 
message, and applying the first remainder x and a 
signer's identification ID to a hash function to generate 
h(x, ID); 

selecting a random number r2 between 1 and q to be used 
as y2, calculating a first remainder yl=rl+h(x, ID)b+ 
ay2 mod q, wherein a is a first secret key and b is a 
second secret key, thus to generate a digital signature 
(x, yl, y2) for the message m; 

for a verifier, applying the first remainder x and the 
signer's identification ID to the hash function to gen- 
erate h(x, ID); and 

recovering the message m contained m the first remainder 
x by calculating a remainder =xg''^vl'"v2'"-^' ™' mod 5 
p wherein vl is a first public key, vl=g"'' mod p, v2 
is a second public key, v^^g"* mod p, and verifjnng 
the validation of the digital signature (x, yl, y2) by 
confirming the contents of the recovered message. 

3. A method for generating a digital signature with appen- 5 
dix and verifying the generated digital signature when 
system coefficients are g, q and p, wherein p and q are prime 
numbers different from each other, g is a natural number 
between 1 and p and a remainder obtained by dividing q''' 
power of g by p is 1, the method comprising the steps of: 5 

for a signer, selecting a first random number rl, applying 
n and a signer's identification ID to a hash 



function to generate h(ID, m), by calculating a first 
remainder 5^h(ID, m)g"''^ mod p, and applying the 
first remainder x and the message m to the hash 
function to generate h(x, m); 
selecting second and third random numbers r2 and r3, 
calculating a second remainder r4=rl+ar2 mod q, 
(wherein a is a first secret key, and calculating a third 
remainder r5=ar3+b mod q, wherein b is a second 
secret key; 

calculating a fourth remainder yl=r4+r5 h(x, m) mod q, 
and calculating a fifth remainder y2=r2+r3 h(x, m) 
mod q, thus to generate a digital signature (x, yl, y2) 

for a verifier, applying the first remainder x and the 
message m to the hash function to generate h(x, m), and 
recovering h(ID, m) by calculating a sixth remainder 
=xg vl''S?2^*' ""^ mod p, wherein vl is a first public 
key, vl=g"'' modp, v2 is a second public key and 
v2=g"'' mod p; and 

verifying the vahdalion of ihc digiial signature (x, yl, y2) 
by confirming whether ihc recovered h(lD, m) is equal 
to h(x, ID) obtained by applying the signer's identifi- 
cation ID and llic message m to the hash function. 

4. A method for generaling a digital signature with appen- 
dix and verifying the generated digital signature when 
system coefiBcients are g, q and p, wherein p and q are prime 
numbers different from each other, g is a natural number 
between 1 and p and a remainder obtained by dividing q''' 
power of g by p is 1, the method comprising the steps of: 

for a signer, selecting a first random number rl, applying 
a message m and a signer's identification ID to a hash 
function to generate h(lD, m), calculating a first 
remainder x=h(ID, m)g"''^ mod p, and applying the 
first remainder x and the message m to the hash 
function to generate h(x, m); 

selecting a second random number r2 between 1 and q to 
be used as y2, calculating a second remainder yl=rl+ 
h(x,m)b+ay2 mod q, wherein a is a first secret key and 
b is a second secret key, thus to generate a digital 
signature (x, yl, y2) for the message m; 

for a verifier, applying the first remainder x and the 
message m to the hash function to generate h(x, m), and 
recovering h(ID, m) by calculating a sixth remainder 
^s.gvV\T^''- ""^ mod p, wherein vl is a first public 
key, vl g~° mod p, v2 is a second public key and 
v^g"* mod p and 

verifying the vaHdation of the digital signature (x, yl, y2) 
by confirming whether the recovered h(lD, m) is equal 
to h(ID, m) obtained by applying the signer's identifi- 
cation ID and the message m to the hash function. 

5. A method for authenticating user's identity when sys- 
tem coeflicients are g, q and p, wherein p and q are prime 
numbers different from each other, g is a natural number 
between 1 and p and a remainder obtained by dividing qth 
power of g by p is 1, the method comprising the steps of: 

for a prover, selecting a first random number rl, making 
out authentication information I including a prover' s 
identification and a current time, transmitting a first 
remainder j^Ig"''^ mod p, to a verifier, and for the 
verifier, transmitting a second random number e to the 

for the prover, applying the first remainder x and the 
second random number e to the hash function to yield 
h(x, e), selecting second and third random numbers r2 
and r3, calculating a second remainder r4=rl+ar2 mod 



q wherein a is a first secret key, and calculating a third 
remainder r5=ar3+b mod q, wherein b is a second 

calculating a fourth remainder yl=r4+r5 h(x, e) mod q, 
and calculating a fifth remainder y^^r2+r3 h(x, e) mod ■ 
q, thus to generate a digital signature (x, yl, y2) for the 
message m; 

for a verifier, recovering the authentication information I 
contained in the first remainder x by calculating a 
remainder =xg^^vF^v2''''^' "^'^ mod p, wherein vl is a ^ 
first pubhc key vl=g"° mod p, v2 is a second public 
key and v^^g"* mod p, and authenticating prover's 
identity by confirming the contents of the recovered 
authentication information. 

6. A method for authenticating user's identity as claimed ^ 
in claim 5, wherein said authentication information 1 is 1. 

7. A method for authenticating user's identity when sys- 
tem coefficients are g, q and p, wherein p and q are prime 
numbers different from each other, g is a natural nimiber 
between 1 and p and a remainder obtained by dividing q"* ^ 
power of g by p is 1 the method comprising the steps of: 

for a prover, selecting a first random number -rl, making 
out authentication information I including a prover's 
identification and a current time, transmitting a first ^ 
remainder x=Ig''^ mod p to a verifier, and for the 
verifier, transmitting a second random number e to the 

for the prover, applying the first remainder x and the 
second random number e to the hash function to 3 
generate h(x, e), selecting second and third random 
numbers r2 and r3, calculating a second remainder 
r4=-rl+ar2 mod q, wherein a is a first secret key, and 
calculating a third remainder r5=ar3+b mod q, 
wherein h is ;i second sccrel key; 3 

calculating a fourth remainder yl=r4+r5 h(x, e) mod q, 
and calculating a fifth remainder y2^r2+r3 h(x, e) mod 
q, thus to generate a digital signature (x, yl, y2) for the 
message m; 

for a verifier, recovering the authentication information I 1 
contained in the first remainder x by calculating a 
remainder =xg^^vF^v2''''^' mod p, wherein vl is a 
first public key, vl=g~'' mod p, v2 is a second public 
and v2=g" mod p, and authenticating prover's iden- 
tity by confirming the contents of the recovered authen- 
tication information. 

8. A method for authenticating user's identity as claimed 
in claim 7, wherein said authentication information I is 1. 

9. A method for authenticating user's identity when sys- 
tem coefficients are g, q and p, wherein p and q are prime ^ 
numbers different from each other, g is a natural number 



10 

between 1 and p and a remainder obtained by dividing q''' 
power of g by p is 1, the method comprising the steps of: 
for a prover, selecting a first random number rl, making 
out authentication information I including a prover's 
identification and a current time, transmitting a first 
remainder j^Ig"''^ mod p, to a verifier, and for the 
verifier, transmitting a second random number e to the 

for the prover, applying the first remainder x and the 
second random number e to tlie hash function to 
generate h(x, e), selecting a random nimiber r2 between 
1 and q to be used as y2, calculating a first remainder 
yl=rl+h(x, e)b+ay2 mod q wherein a is a first secret 
key and b is a second secret key, thus to generate a 
digital signature (x, yl, y2) for the message m; 

for a verifer, recovering the authentication information I 
contained in the first remainder x by calculating a 
remainder =xg^VF^2''*'^' mod p, and authenticat- 
ing prover's identity by confirming the contents of the 
recovered authentication information. 

10. A method for authenticating user's identity as claimed 
in claim 9, wherein said authentication information I is 1. 

11. A method for authenticating user's identity when 
system coefficients are g, q and p, wherein p and q are prime 
numbers different from each other, g is a natural number 
between 1 and p and a remainder obtained by dividing q'* 
power of g by p is 1, the method comprising the steps of: 

for a prover, selecting a first random number -rl, making 
out authentication information I including a prover's 
identification and a current time, transmitting a first 
remainder x=Ig''^ mod p to a verifier, and for the 
verifier, transmitting a second random number e to the 

for the prover, applying the first remainder x and the 
second random number e to the hash function to 
generate h(x, e), selecting a random mmiber r2 between 
1 and q as y2, calculating a first remainder yl=-rl+ 
h(x, e)b+ay2 mod q, wherein a is a first secret key and 
b is a second secret key, thus to generate a digital 
signature (x, yl, y2) for the message m; and 

for a verifier, recovering the authentication information I 
contained in the first remainder x by calculating a 
remainder =xg'^vl'S'2'"^'" mod p, and authenticat- 
ing prover's identity by confirming the contents of the 
recovered authentication information. 

12. A method for authenticating user's identity as claimed 
in claim 11, wherein said authentication information I is 1. 
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La presente invention concerne un systeme d'empreinte numerique 
permettant une recuperation de message, et un systeme d'empreinte numerique 
5 avec appendice pour authentifier chaque information de traitement d'Identite, 
proteger I'integrite de I'information transfer6e et empecher le traitement 
d'informations frauduleuses. 

Une empreinte numerique correspondant a une empreinte manueile 
classique sert a confirmer un interlocuteur, a emp^clier la modification non 

1 0 autorisee du contenu de la communication et a resoudre un litige concernant une 
attitude de communication. Un precede destine a generer I'empreinte numerique 
peut comprendre un systeme d'empreinte numerique avec appendice ou un 
systeme d'empreinte numerique permettant une recuperation de message, 
suivant les formes et ies fonctions de I'empreinte numerique generee. 

15 Si on suppose que p designe un nombre premier eieve, q un autre 

nombre premier destine a diviser p-1 , g un entier naturei ayant un reste 1 obtenu 
grace a la division de sa puissance q par p, g se situant entre 1 et p, alors g, q 
et p sont des coefficients de syst6me couramment utilises par les utiiisateurs. Si 
chaque utilisateur cfioisit au hasard comme code secret un entier naturei s situe 

20 entre 1 et q et utilise comme code public un reste v g"* mod p) obtenu en 
divisant la puissance -s de g par p, les coefficients publics utilises par cliaque 
utilisateur sont v, g, q et p. 

II est difficile de trouver le code secret s parmi ces coefficients publics, 
et un probleme de logarithmes discrets est done difficile a calculer. De nombreux 

25 systemes d'identification de codes publics et de nombreux systemes d'empreinte 
numerique sont bases sur le degre de securite, du fait que le probleme des 
logaritlimes discrets est difficile a calculer. 

En 1989, Schnorr a divulgue le syst6me d'identification et le systeme 
d'empreinte numerique bases sur la securite des logarithmes discrets. Le 

30 systeme d'empreinte numerique divulgue par Schnorr, qui est le systeme 
d'empreinte numerique avec appendice, apporte a celui qui avait ete divulgu6 en 
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1985 par Elgamal une fonction de compression par hachage et simplifie la 
procedure destin^e a generer et a verifier rempreinte numerique. De plus, 
remprelnte numerique generee est de petite tallle. 

Le systeme d'identification propose par Schnorr utilise la meme 
5 structure de logarithme que le systeme d'empreinte numerique, et il authentlfle 
la propre identite d'une personne face a un interlocuteur. 

Le systeme d'identification propose par Schnorr, selon lequel un 
fournisseur de preuve A authentlfle son identite face a un veriflcateur B, va 
maintenant etre decrit. 

10 SI les coefficients de systeme du fournisseur de preuve sont g, q et p, 

le code secret s (1 ( s < q) et le code public v {= g'* mod p), le fournisseur de 
preuve A cholsit un nombre arbitraire r situe entre 1 et q et transmet au 
veriflcateur B un reste x {= g' mod p) obtenu en divisant la puissance r de g par 
p. Si X est regu du fournisseur de preuve A, le veriflcateur B choisit un nombre 

1 5 arbitraire e situe entre 1 et q et transmet le nombre e au fournisseur de preuve 
A. Le fournisseur de preuve multiplie le nombre arbitraire e regu du veriflcateur 
B par le code secret s et addltionne le nombre arbitraire r afin d'obtenir r+se. Le 
fournisseur de preuve A transmet au veriflcateur B un reste y {= r+se mod q) 
obtenu en divisant r+se par q. Si y est regu du fournisseur de preuve A, le 

20 verificateur B calcule un reste x' (= g" mod p) obtenu en divisant le produit de 
la puissance y de g et de la puissance e de v par p. Le verificateur B authentlfle 
la validation de I'identite du fournisseur de preuve en confirmant que x' et x sont 
egaux. 

Dans le systeme d'empreinte numerique avec appendice propose par 
25 Schnorr, si un message a pourvoir d'une empreinte est m, I'auteur de I'empreinte 
A choisit un nombre arbitraire r situe entre 1 et q et calcule un reste x {= g' mod 
p) obtenu en divisant la puissance r de g par p. Le message m et le reste x 
calcule sont soumis a la fonction de hachage afin d'obtenir e (= h(x, m)). L'auteur 
de I'empreinte A calcule un reste y {= r+se mod q) obtenu en divisant r, 
30 addltionne au produit de s et e. par q. (e, y) est alors I'empreinte numerique avec 
appendice pour le message m. La validation de I'empreinte numerique (e, y) avec 
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appendice pour le message m est facilement verifiee puisqu'on connaTt un code 
public. 

Cela veut dire que si I'empreinte numerique avec appendice de I'auteur 
de I'empreinte A pour ie message m est (e, y). le vdrificateur B calcule un reste 
5 x' {= gV mod p) obtenu en divisant le produit de la puissance y de g et de la 
puissance e de v par p. Le reste x' et le message m sont soumis a la fonction de 
hachage afin d'obtenir e' (= h(x', m). La validation de I'empreinte numerique (e, 
y) avec appendice de I'auteur de I'empreinte A est verifiee grice k une 
confirmation que e' et e sont egaux. 
10 Depuis. Nyberg et Rueppel ont divulgue en 1993 le systeme 

d'empreinte numerique permettant une recuperation de message et base sur la 
securite des logarithmes discrets. Le systeme d'empreinte numerique permettant 
une recuperation de message de N-R (Nyberg- Rueppel) va maintenant etre 
decrit. 

1 5 On suppose que les coefficients de systeme de I'auteur de I'empreinte 

sont g, q et p, que le code secret est s (1 < s < q), la cle publique v {= g"* mod 
p) et le message a pourvoir d'une emprelnte m, m etant un entier naturel 
superieur ou egal a 1 et inferieur ou egal au nombre premier p. L'auteur de 
I'empreinte choisit un nombre arbitraire r situe entre 1 et q et calcule un reste x 

20 (= mg'' mod p) obtenu en divisant le produit du message m et de la puissance - 
r de g par p. L'auteur de I'empreinte additionne r au code secret s multiplie par 
X afIn d'obtenir r+sx, et calcule un reste y {= r+sx mod q) obtenu en divisant r+sx 
par q. (x, y) est alors I'empreinte numerique permettant une recuperation de 
message pour le message m. 

25 Pour verifier I'empreinte numerique (x, y), le verlficateur calcule un 

reste {= xg' V mod p) obtenu en divisant le produit de x, de la puissance y de 
g et de la puissance x de v par p afin de recuperer le message m. Le v6riflcateur 
verifie la validation de I'empreinte numerique (x, y) en confirmant le contenu du 
message m recupere. 

30 Cependant, I'empreinte numerique avec appendice genere seulement 

I'empreinte numerique pour le message. Dans I'empreinte numerique permettant 
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une recuperation de message, si le message a pourvoir d'une empreinte est 
superieur en taille a p, le message doit §tre divis6 en differents messages 
inferieurs a p. Etant donne que I'empreinte numerique est g6n6r6e pour les 
messages dlvises, cela augmente la taille de I'empreinte numerique gen6r6e. 
5 La presente invention a done pour but de proposer un systeme 

d'empreinte numerique avec appendice destine a confirmer la modification non 
autorisee d'un message et a detecter le comportement de transmission. 

Le but de I'invention est atteint par un precede pour generer une 
empreinte numerique avec appendice et pour verifier I'empreinte numerique 

10 generee, lorsque les coefficients de systeme sont g, q et p, caracterise par les 
phases suivantes : 

selection (par I'auteur d'une empreinte) d'un premier nombre arbitraire 
r1, application d'une fonction de hachage pour un message m et une 
identification ID de I'auteur de I'empreinte afin d'obtenir h(ID, m), calcul d'un 

15 premier reste x (= h(ID. m) g"^ mod p) obtenu en divisant le prodult de h(ID, m) 
et de la puissance -r1 de g par p, et application de la fonction de hachage pour 
le premier reste x et ledit message m afin d'obtenir h (x, m) ; 

selection d'un deuxieme et d'un troisieme nombre arbitraire r2 et r3, 
calcul d'un deuxieme reste r4 (= r1 + ar2 mod q) obtenu en divisant par q le 

20 premier nombre arbitraire r1 additionne au produit d'un premier code secret a et 
du deuxieme nombre arbitraire r2, et calcul d'un troisieme reste r5 (= ar3 + b 
mod q) obtenu en divisant par q un second code secret b additionne au produit 
du premier code secret a et du troisieme nombre arbitraire r3 ; 

calcul d'un quatrieme reste y1 (= r4 + r5 h(x, m) mod q) obtenu en 

25 divisant par q le deuxieme reste r4 additionnd au produit du troisieme reste rS et 
de h(x. m), et calcul d'un cinquieme reste y2 r2 + r3 h(x, m) mod q) obtenu 
en divisant par q le deuxieme nombre arbitraire r2 additionne au produit du 
troisieme nombre arbitraire r3 et de h(x, m), pour generer ainsi une empreinte 
numerique (x, y1, y2) pour le message m ; 

30 application (par un verificateur) de la fonction de hachage pour le 

premier reste x et le message m afin d'obtenir h(x, m), et recuperation de h(ID, 
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m) grace au calcul d'un sixieme reste {= xg^Vl'^"*'^'"' mod p) obtenu en divisant 
par p le produit du premier reste x, de la puissance y1 de g, de la puissance y2 
d'un premier code public v1 (= g'* mod p) et de la puissance {h(x. ID)} d'un 
second code public v2 {= g"" mod p) ; et 
5 verification de la validation de I'empreinte numerique (x, y1 , y2) grace 

a la confirmation que la valeur li(ID, m) recuperee est egale a la vaieur h{x, ID) 
obtenue grace a I'application de la fonction de hacliage pour I'identification ID de 
I'auteur de I'empreinte et le message m. 

La presente invention va etre decrite plus en detail en reference aux 

10 dessins joints. 

La figure 1 montre un traitement pour un systeme d'empreinte 
numerique permettant une recuperation de message selon la presente invention, 
la figure 2 montre un traitement pour un systeme d'empreinte 
numerique avec appendice selon la presente invention, et 

1 5 la figure 3 montre un traitement pour un systeme d'identification selon 

la presente invention. 

Selon la figure 1 . chaque utilisateur a deux codes secrets et deux 
codes publics correspondant a ceux-ci, et peut generer une empreinte numerique 
pour un message a pourvoir d'une empreinte. Si le message a pourvoir d'une 

20 empreinte est m, les codes secrets de I'auteur de I'empreinte a et b et les codes 
publics v1 {= g"^ mod p) et v2 {= g'" mod p), ctiaque utilisateur utilise 
couramment une fonction de hachage h et des coefficients de systeme g, q et p. 
Pendant I'utilisation d'un systeme d'empreinte numerique, une identification 
unique (ID) est attribuee a chaque utilisateur a partird'un centre d'authentification 

25 de code. 

Un auteur d'empreinte A clioisit un nombre arbitraire r1 situ6 entre 1 
et q et calcule un reste x (= mg''^ mod p) obtenu en divisant le produit du 
message m et de la puissance -r de g par p. II soumet le reste x et son 
identification ID^ a la fonction de hachage afin d'obtenir h(x, IDJ. II choisit des 
30 nombres arbitraires r2 et r3 situes entre 1 et q et calcule r4 {= r1 + ar2 mod q), 
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r5 (= ar3 + b mod q), y1 r4 + h{x, IDJrS mod q). et y2 (s r2 + h(x, IDJr3 mod 
q). 

Au lieu de calculer y1 et y2 en utilisant h(x, ID^) apres avoir choisi r2 
et r3 et apres avoir calculi r4 et r5 a I'aide des codes secrets a et b. on peut 
5 choisir comme valeur de y2 un nombre arbitraire r2 et calculer y1 en utilisant les 
codes secrets a et b et la valeur calculee pour h(x, IDJ. Cela veut dire que 
I'auteur de I'empreinte A choisit le nombre arbitraire r2 situe entre 1 et q comme 
valeur de y2. Puis y1 est calcule a I'aide de la formuie y1 = r1 + h{x, IDJb + ay2 
mod q. La valeur (x, y1, y2) obtenue est done I'empreinte numerique permettant 

10 une recuperation de message pour ie message m. 

Pour verifier I'empreinte numerique (x, y1, y2). un v6rlficateur B 
soumet X et I'identification ID^ de I'auteur de I'empreinte a la fonction de hachage 
afin d'obtenir h(x, IDJ. On recupere Ie message m en calculant un reste {= 
xg'"v1'^v2''"' '°'^* mod p) obtenu en divisant par p le produit de x, de la puissance 

15 y1 de g, de la puissance y2 du code public v1 et de la puissance {h(x, IDJ} du 
code public v2. Le verificateur B verifie la validation de I'empreinte pour le 
message m en confirmant le contenu du message m recupere. 

Selon la figure 2, I'empreinte numerique g^neree est ajoutee a la fin 
d'un message pourvu d'une empreinte et est traitee par paire avec ce message. 

20 L'auteur de I'empreinte A soumet son identification ID^ et le message 

m a la fonction de hachage afin d'obtenir I h{\D^, m)). II etablit egalement I en 
annexant les donnees relatives a la securite. par exemple la description pour le 
message correspondant et I'heure a laquelle I'empreinte numerique est generee 
par un terminal d'ordinateur. II choisit un nombre arbitraire r1 situe entre 1 et q 

25 et calcule un reste x {= Ig"'^ mod p) obtenu en divisant le produit de I et de la 
puissance -r1 de g par p. II soumet x et le message m ^ la fonction de hachage 
afin d'obtenir h(x, m). II choisit enfin des nombres arbitralres r2 et r3 situes entre 
1 et q et calcule r4 (= r1 + ar2 mod q), r5 {= ar3 + b mod q), y1 (= r4 + h(x, 
m)r5 mod q) et y2 {= r2 + h(x, m)r3 mod q). 

30 Au lieu de calculer y1 et y2 en utilisant h(x, m) apres avoir choisi les 

nombres arbitraires r2 et r3 et apres avoir calcule r4 et rS a I'aide des codes 



2742618 



secrets a et b, on peut choisir comme valeur de y2 un nombre arbitraire r2 et 
calculer y1 en utilisant les codes secrets a et b et h(x, m) : I'auteur de rempreinte 
A choisit comme valeur de y2 les nombres arbitraires r2 entre 1 et q. Le reste y1 
est calcule a I'alde de la formule yl = r1 + h(x, m)b + ay2 mod q. (x, y1 , y2) est 
5 ainsi rempreinte num^rlque avec appendice pour le message m et est traitee 
avec celui-ci sous la forme (m, x, yl, y2). 

Pour verifier I'empreinte numerique (m, x, yl , y2) avec appendice, le 
verificateur B calcule ii(x, m) en soumettant x et le message m dans I'empreinte 
numerique (m, x, yl , y2) a la fonction de hachage. On recupere I en calculant un 

10 reste {= xg^Vl ^^/2"'''■""' mod p) obtenu en divisant par p le produit de x, de la 
puissance y1 de g, de la puissance y2 de v1 et de la puissance (h(x,m)) de v2. 
Le verificateur B soumet I'identificatlon ID^ de I'auteur de I'empreinte et le 
message m a la fonction de hachage afin d'obtenir h(IDA, m). On v^rifle la 
validation de I'empreinte numerique avec appendice pour le message m en 

15 confirmant que la valeur obtenue pour h(IDA, m) est egale a la valeur recuperee 
pour I. 

En consequence, I'empreinte numerique permettant une recuperation 
de message et i'empreinte numerique avec appendice sont utilisees d'une 
maniere appropriee en fonction de la longueur de la sequence binaire du 

20 message a pourvoir d'une empreinte. Si ia tailie du message est petite, I'auteur 
de I'empreinte utilise I'empreinte numerique permettant une recuperation de 
message. Etant donne que le verificateur peut recuperer le message pourvu 
d'une empreinte a partir du resultat de la verification de la validation de 
I'empreinte numerique, I'importance de la communication entre I'auteur de 

25 I'empreinte et le verificateur peut etre reduite. Si la taille du message est grande, 
rempreinte numerique avec appendice est utilisee pour generer I'empreinte 
numerique comprenant des informations comme une phrase de description de 
I'auteur de I'empreinte, une heure d'empreinte, etc. 

Cela veut dire que I'auteur de I'empreinte soumet son identification ID 

30 et le message m a la fonction de hacliage afin d'obtenir h{ID, m). II annexe a 
h(ID, m) la phrase de description pour le message m. II etablit I (= h(IDA, m), une 
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phrase de description et une lieure d'empreinte) en annexant la description pour 
le message correspondant et I'hieure a iaquelle i'empreinte numerique est 
generee par un terminal d'ordinateur, et genere I'empreinte numerique avec 
appendice. 

5 Selon la figure 3. pour ameliorer la securite, chaque utillsateur peut 

utiliser deux codes secrets et deux codes publics correspondant k ceux-ci. Des 
nombres arbitraires a et b sent choisis entre 1 et q comme codes secrets. Les 
codes publics sont v1 g"^ mod p) et v2 {= g'" mod p). Pour prouver sa propre 
identite a un verificateur B, le fournisseur de preuve A choisit un nombre 

10 arbitralre r1 situe entre 1 et q et calcule la puissance -r1 de g. Le fournisseur de 
preuve A etablit I'information 1 (= 10^, date et heure d'empreinte. adresse du 
terminal utilise, etc.) contenant son identification ID^. la date et I'heure 
d'empreinte, une adresse d'ordinateur central ou une adresse de noeud indiquant 
une position d'un terminal utilise, etc., et transmet x Ig"^ mod p) au verificateur 

15 B. L'information d'authentification I peut etre 1. 

Si X est regu du fournisseur de preuve A, le verificateur B choisit un 
nombre arbitraire e situe entre 1 et q et transmet le nombre arbitralre e au 
fournisseur de preuve A. Celui-cl soumet e et x a la fonction de hachage afin 
d'obtenir h(x, e). Les nombres r2 et r3 situes entre 1 et q sont choisis au hasard 

20 par le fournisseur de preuve A tandis que r4 r1 + ar2 mod q) et r5 {= ar3 + 
b mod q) sont calcules. Le fournisseur de preuve A transmet y1 {= r4 + h(x, e)r5 
mod q) et y2 (= r2 + h(x, e)r3 mod q) au verificateur B. 

Dans la description precedente, on calcule y1 et y2 en utilisant h(x, e) 
apr6s avoir choisi les nombres arbitraires r2 et r3 et apres avoir calcule r4 et r5 

25 en utilisant les codes secrets a et b. Cependant, on peut choisir comme valeur 
de y2 un nombre arbitraire r2 et calculer y1 en utilisant a et b et h(x, e) : le 
fournisseur de preuve A choisit comme vaieur de y2 le nombre arbitraire r2 entre 
1 et q, et le reste y1 est obtenu grace a la formule y1 = r1 + h(x, e)b + ay2 mod 
q). Le fournisseur de preuve A transmet y1 et y2 au verificateur B. 

30 Si y1 et y2 sont regus du fournisseur de preuve A, le verificateur B 

recupere I'information d'authentification I en calculant xg^ V1 '^2''*''-^' mod p. Le 
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verificateur B authentifie Tidentite du fournisseur de preuve en confirmant le 
contenu de rinformation d'authentification I recuperee. 

D'autre part, le nombre arbitraire -r1 peut Stre utilise k la place du 
nombre arbitraire r1 . 

5 Comme on I'a decrit plus haut, le service d'information fiable est 

possible et un interlocuteur peut etre efficacement authentifie. 
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REVENDICATIONS 

1 . Procede pour generer une empreinte numerique avec appendice 
et pour verifier rempreinte numerique gen^r^e, lorsque les coefficients de 
systeme sont g, q et p, caracterlse par les pliases suivantes : 
5 selection (par I'auteur d'une empreinte) d'un premier nombre arbitraire 

r1, application d'une fonction de hachage pour un message m et une 
Identification ID de I'auteur de Femprelnte afin d'obtenir h(ID, m), calcul d'un 
premier reste x {= h(ID, m) g"" mod p) obtenu en divisant ie produit de h(iD, m) 
et de la puissance -r1 de g par p, et application de la fonction de hachage pour 

10 Ie premier reste x et ledit message m afin d'obtenir h (x. m) ; 

selection d'un deuxieme et d'un troisieme nombre arbitraire r2 et r3. 
calcul d'un deuxieme reste r4 (= r1 + ar2 mod q) obtenu en divisant par q Ie 
premier nombre arbitraire r1 additionne au produit d'un premier code secret a et 
du deuxieme nombre arbitraire r2, et calcul d'un troisieme reste r5 {= ar3 + b 

1 5 mod q) obtenu en divisant par q un second code secret b additionne au produit 
du premier code secret a et du troisieme nombre arbitraire r3 ; 

calcul d'un quatrleme reste y1 (= r4 + r5 h{x, m) mod q) obtenu en 
divisant par q Ie deuxieme reste r4 additionne au produit du troisieme reste r5 et 
de h(x, m), et calcul d'un cinquieme reste y2 r2 + r3 h(x, m) mod q) obtenu 

20 en divisant par q Ie deuxieme nombre arbitraire r2 additionne au produit du 
troisieme nombre arbitraire r3 et de h(x, m), pour generer ainsi une empreinte 
numerique (x, y1 , y2) pour Ie message m ; 

application (par un verificateur) de la fonction de hachage pour Ie 
premier reste x et Ie message m afin d'obtenir h(x, m), et recuperation de h(ID, 

25 m) grace au calcul d'un sixieme reste {= xg''Vl'^2^^'''"" mod p) obtenu en divisant 
par p Ie produit du premier reste x, de la puissance y1 de g, de la puissance y2 
d'un premier code public v1 {= g'^ mod p) et de la puissance {h(x, m)} d'un 
second code public v2 {= g"" mod p) ; et 

verification de la validation de I'empreinte numerique (x, y1 , y2) grace 

30 a la confirmation que la valeur h(ID, m) recuperee est egale a la valeur h(x, ID) 
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obtenue grace a I'application de la fonction de hachage pour ridentification ID de 
I'auteur de remprelnte et le message m. 

2. Precede pour generer une empreinte numerique avec appendice 
et pour verifier remprelnte numerique gen6ree, lorsque les coefficients de 
5 systeme sont g, q et p, caracterise par les phases sulvantes : 

selection (par I'auteur d'une empreinte) d'un premier nombre arbitraire 
r1 , application d'une fonction de compression par hacliage pour un message m 
et une identification ID de I'auteur de I'empreinte afin d'obtenir li(ID, m), caicul 
d'un premier reste x {= h(iD, m) g"" mod p) obtenu en divisant le produit de h(x, 
10 m) et de la puissance -rl de g par p, et application de la fonction de hachage 
pour le premier reste x et iedit message m afin d'obtenir h (x, m) ; 

selection du deuxieme nombre arbitraire r2 entre 1 et q comme valeur 
de y2, caicul d'un premier reste y1 {= rl + h(x, m)b + ay2 mod q) obtenu en 
divisant par q le premier nombre arbitraire rl additionne au produit d'un premier 
15 code secret a et de y2 et au produit d'un second code secret b et de h(x, m), 
pour generer ainsi une empreinte numerique (x, y1, y2) pour le message m ; 

application (par un verificateur) de la fonction de hachage pour le 
premier reste x et le message m afin d'obtenir h(x, m), et recuperation de h(ID, 
m) grace au caicul d'un sixieme reste (= xg'\^^2''^''•"'^ mod p) obtenu en divisant 
20 par p le produit du premier reste x, de la puissance y1 de g, de la puissance y2 
d'un premier code public v1 g"^ mod p) et de la puissance {h(x, m)} d'un 
second code public v2 (= g"'' mod p) ; et 

verification de la validation de I'empreinte numerique (x, y1, y2) grace 
a la confirmation que la valeur h(ID, m) recuperee est egale a la valeur h(ID, m) 
25 obtenue grace a I'application de la fonction de hachage pour i'identification ID de 
I'auteur de i'empreinte et le message m. 
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